Я уже задавал этот вопрос неоднократно, но мне на него так никто и не соизволил ответить, В локальной сети есть несколько компьютеров, но они не могут пользоваться интернетом, потому, что файрвол (iptables) не дает. Как мне разрешить всей подсети доступ к нету. В ipchains это правило выглядило следующим образом: ipchains -A forward -i ppp0 -j MASQ

• RE: iptables ,and, 17:17 , 10-Апр-02
  • RE: iptables ,dks, 18:14 , 10-Апр-02
    • RE: iptables ,and, 00:34 , 11-Апр-02
      • RE: iptables ,dks, 17:19 , 11-Апр-02
        • RE: iptables ,dks, 15:08 , 12-Апр-02
          • RE: iptables ,and, 15:37 , 12-Апр-02
            • RE: iptables ,dks, 16:32 , 12-Апр-02
              • RE: iptables ,and, 17:11 , 12-Апр-02
                • RE: iptables ,dks, 17:39 , 12-Апр-02
                  • RE: iptables ,vladka, 20:43 , 12-Апр-02
                    • RE: iptables ,dks, 10:40 , 13-Апр-02
                  • RE: iptables ,and, 21:44 , 12-Апр-02
                    • RE: iptables ,dks, 10:41 , 13-Апр-02
                    • RE: iptables ,dks, 12:35 , 13-Апр-02
                      • RE: iptables ,Lmax, 13:29 , 13-Апр-02

>Я уже задавал этот вопрос неоднократно,
>но мне на него так
>никто и не соизволил ответить,
>В локальной сети есть несколько
>компьютеров, но они не могут
>пользоваться интернетом, потому, что файрвол
>(iptables) не дает. Как мне
>разрешить всей подсети доступ к
>нету. В ipchains это правило
>выглядило следующим образом: ipchains -A
>forward -i ppp0 -j MASQ
>

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to "real-ip"
iptables -A FORWARD -i eth0 -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp -s 192.168.0.0/24 -j ACCEPT

А вообще можно бы и документацию почитать :-))

>iptables -t nat -A POSTROUTING -s
>192.168.0.0/24 -o eth0 -j SNAT
>--to "real-ip"
>iptables -A FORWARD -i eth0 -d
>192.168.0.0/24 -j ACCEPT
>iptables -A FORWARD -o eth0 -p
>tcp -s 192.168.0.0/24 -j ACCEPT
>
>
>А вообще можно бы и документацию
>почитать :-))

Я зделал все как вы мне сказали, но ничего не изменилось. Может там еще какие-то правила мешают? Можноли их все удалить сразу?

Какая система ?
Покажите вывод:
iptables -L -v -n и
iptables -t nat -L -v -n

>Какая система ?
>Покажите вывод:
>iptables -L -v -n и
>iptables -t nat -L -v -n
>

[root@www src]# iptables -L -v -n
Chain INPUT (policy ACCEPT 274K packets, 48M bytes)
pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 45 packets, 2734 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth0   *       0.0.0.0/0            192.168.0.0/24
    0     0 ACCEPT     tcp  --  *      eth0    192.168.0.0/24       0.0.0.0/0

Chain OUTPUT (policy ACCEPT 376K packets, 347M bytes)
pkts bytes target     prot opt in     out     source               destination

[root@www src]# iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 3658 packets, 206K bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 4039 packets, 250K bytes)
pkts bytes target     prot opt in     out     source               destination
  706 63885 SNAT       all  --  *      eth0    192.168.0.0/24       0.0.0.0/0          to:192.168.0.1

Chain OUTPUT (policy ACCEPT 4734 packets, 313K bytes)
pkts bytes target     prot opt in     out     source               destination

К примеру я с локальной тачки лезу по телнету на 9000 порт, а она застряет на Trying XXX.XXX.XXX.XXX... -(((

Система Linux ASP 7.2, ядро 2.4.9

НУ помогите же ктонить... Надо срочно что-то сделать.

>НУ помогите же ктонить... Надо срочно
>что-то сделать.

Chain POSTROUTING (policy ACCEPT 4039 packets, 250K bytes)
pkts bytes target     prot opt in     out     source               destination
  706 63885 SNAT       all  --  *      eth0    192.168.0.0/24       0.0.0.0/0          to:192.168.0.1

Вот эта строчка мне не нравится, в место 192.168.0.1 должен быть реальный айпи с твоего внешнего интерфейса

>>НУ помогите же ктонить... Надо срочно
>>что-то сделать.
>
>Chain POSTROUTING (policy ACCEPT 4039 packets,
>250K bytes)
>pkts bytes target    
> prot opt in  
>   out  
>   source  
>    
>    
>   destination
>  706 63885 SNAT  
>    
>all  --  *
>    
>eth0    192.168.0.0/24
>    
> 0.0.0.0/0    
>    
> to:192.168.0.1
>
>Вот эта строчка мне не нравится,
>в место 192.168.0.1 должен быть
>реальный айпи с твоего внешнего
>интерфейса

Что значит реальный айпи? Тот который присваивается при в ходе в сетку?
rcvd [IPCP ConfReq id=0xcf <addr 195.184.192.3>]
sent [IPCP ConfNak id=0xcf <addr 195.184.192.20>]
Это чтоли? Да дело в том, что пока выделенки нету, и айпишник динамический Ж-(( Я думаю что тут имеет смысл просто включить маскардинг. На айпичеинсах это все делалось одной строкой :-(

>>>НУ помогите же ктонить... Надо срочно
>>>что-то сделать.
>>
>>Chain POSTROUTING (policy ACCEPT 4039 packets,
>>250K bytes)
>>pkts bytes target    
>> prot opt in  
>>   out  
>>   source  
>>    
>>    
>>   destination
>>  706 63885 SNAT  
>>    
>>all  --  *
>>    
>>eth0    192.168.0.0/24
>>    
>> 0.0.0.0/0    
>>    
>> to:192.168.0.1
>>
>>Вот эта строчка мне не нравится,
>>в место 192.168.0.1 должен быть
>>реальный айпи с твоего внешнего
>>интерфейса
>
>
>Что значит реальный айпи? Тот который
>присваивается при в ходе в
>сетку?
>rcvd [IPCP ConfReq id=0xcf <addr 195.184.192.3>]
>sent [IPCP ConfNak id=0xcf <addr 195.184.192.20>]
>Это чтоли? Да дело в том,
>что пока выделенки нету, и
>айпишник динамический Ж-(( Я думаю
>что тут имеет смысл просто
>включить маскардинг. На айпичеинсах это
>все делалось одной строкой :-(
>

Ну так поставь ipchains и не парь мозги ни себе ни другим людям

>Ну так поставь ipchains и не
>парь мозги ни себе ни
>другим людям

да немогу я его поставить ,-( Ядро его не поддерживает. А как перекомпилит ьс поддержкой ipchains я не в курсе.

[root@www root]# service ipchains start
[root@www root]# service ipchains stop
Flushing all chains: ipchains: Incompatible with this kernel
                                                           [ СБОЙ ]
Removing user defined chains: ipchains: Incompatible with this kernel
                                                           [ СБОЙ ]
Встроенные цепочки сбрасываются на основную политику ACCEPT:ipchains: Protocol not available
                                                           [ СБОЙ ]

>>Ну так поставь ipchains и не
>>парь мозги ни себе ни
>>другим людям
>
>
>да немогу я его поставить ,-(
>Ядро его не поддерживает.
Это ж какое такое ядро поддерживает iptables и не поддерживает ipchains???? было бы наоборот - еще бы понял...

>>>Ну так поставь ipchains и не
>>>парь мозги ни себе ни
>>>другим людям
>>
>>
>>да немогу я его поставить ,-(
>>Ядро его не поддерживает.
>Это ж какое такое ядро поддерживает
>iptables и не поддерживает ipchains????
>было бы наоборот - еще
>бы понял...

Ну я тебе пример привел. Вот еще пример с modprobe (или insmod) одно и тоже.

Warning: loading /lib/modules/2.4.9-13/kernel/net/ipv4/netfilter/ipchains.o will taint the kernel: non-GPL license - BSD without advertisement clause
/lib/modules/2.4.9-13/kernel/net/ipv4/netfilter/ipchains.o: init_module: Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters

Вот шо это за байда такая. Мол некорректные параметры какие-то? Дэвайс занят...

А тебя документацию читать не учили, а вообще переходи на Винды, мне кажется это будет твой менталитет, да и то там документацию читать надо

>А тебя документацию читать не учили,
>а вообще переходи на Винды,
>мне кажется это будет твой
>менталитет, да и то там
>документацию читать надо

ДА я то ее читаю... просто пока разобраться немогу что к чему.

Ладно! Знатоки линукса. Тему можно закрывать! Я уже нашел что искал. Это выглядит следующим образом! Без всяких там фиксированых айпишников и тд!

# iptables -P FORWARD ACCEPT
# iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j REJECT
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Вау... :)))